Início » Segurança » Falha no Flickr permitia publicar fotos nas contas de outros usuários

Falha no Flickr permitia publicar fotos nas contas de outros usuários

Por
05/10/2017 às 16h57
Já conhece a nova extensão do Tecnoblog? Baixe Agora

Quando a gente acha que os problemas de segurança no Yahoo cessaram, outro vem à tona. Pelo menos este não é (muito) grave e já foi corrigido: uma vulnerabilidade no sistema de uploads do Flickr possibilitava que fotos fossem indevidamente publicadas na conta de praticamente qualquer usuário.

Já pensou em acessar a sua conta e encontrar ali uma foto que não é sua? Não há relatos de que isso tenha acontecido, até porque, aparentemente, o problema foi corrigido antes que alguém tivesse a chance de explorá-lo. Mas a falha é, no mínimo, curiosa e serve de alerta para a importância de dar atenção aos menores detalhes no desenvolvimento de um sistema.

Flickr

Pois bem, o problema em questão foi descoberto por um jovem com conhecimentos avançados em segurança que se identifica como Jazzy. Usando o Flickr, ele percebeu que o serviço tem uma função que permite publicar fotos e vídeos por email. Basta enviar o conteúdo a um endereço de email único criado automaticamente para cada usuário.

Essa é uma funcionalidade útil para alguns usuários. Porém, qualquer pessoa que tiver o endereço de email de uma conta conseguirá fazer uma publicação nela. Isso não é uma falha, portanto, convém ao usuário ter cuidado. Por conta disso, Jazzy se perguntou se não haveria uma forma de obter uma lista desses emails.

Jazzy não conseguiu burlar a segurança do Flickr para acessar a base de dados. No entanto, ele descobriu que o usuário pode pedir para o serviço gerar um email novo para substituir o anterior. Depois de realizar esse procedimento várias vezes, Jazzy percebeu que os emails eram gerados seguindo um padrão:

[palavra aleatória][número aleatório de 0 a 100][palavra aleatória]@photos.flickr.com

Na sequência, Jazzy criou um script em Python que gerou 23.692 endereços no serviço durante uma noite. Com outro script, ele descobriu que todos esses emails foram gerados com base em um conjunto de apenas 935 palavras do dicionário (em inglês), todas com até seis caracteres.

Flickr - reset de email (por Jazzy)

O padrão usava duas palavras definidas a partir de 935 opções e um número de 0 a 100. Jazzy fez então a conta 935 * 935 * 100 e concluiu que o sistema pode gerar, com a fórmula, mais de 87 milhões de endereços. Só que o Flickr tem 50 milhões de contas, aproximadamente. Um script baseado na mesma fórmula poderia ser desenvolvido para gerar os 87 milhões de emails, cada um tendo mais de 50% de chance de corresponder ao endereço verdadeiro de um usuário.

Leia também: Todas as 3 bilhões de contas do Yahoo foram afetadas em ataque

Bom, com essa lista de emails, uma pessoa poderia, em tese, publicar uma imagem em milhões de contas de uma só vez. Mas Jazzy estava participando do programa Yahoo Bug Bounty e, portanto, simplesmente reportou o problema à companhia.

A falha foi confirmada pelo Yahoo, corrigida prontamente e depois recompensada — nos comentários do post sobre o assunto, Jazzy afirma ter recebido US$ 4 mil.

Só resta saber se essa correção é mesmo eficaz: em um teste rápido aqui, os emails gerados tiveram apenas mais um número e uma palavra do dicionário em inglês adicionadas.

Com informações: The Next Web

Mais sobre: ,
  • Daniel

    Yahoo quem em português que dizer “falha”…

  • Silva Marcos

    na moral, pra usar alguma coisa do Yahoo tem que ser maluco e muito desinformado.

  • Alisson Silva

    Marissa Mayer deve ter demitido o setor de segurança inteiro.

    • Cássio Amaral

      Pense numa mulher que só fez m… e caiu pra cima.

    • Parafraseando um ai:
      A culpa é da Marissa!

  • caio.

    Que tal cadastrarem um email do usuário que o sistema aceitaria receber arquivos pra postar? Igual o sistema de conversão do kindle via email, eles soh convertem arquivos recebidos dos e-mails que o usuário cadastrar como liberados… estranho na verdade eh ter demorado tanto tempo pra aparecer alguém falando dessa falha…

  • antônio

    Só 4 mil dólares? Saiu barato, até.

    • EDIVO MACEDO

      VDD

  • Yahoo sendo o Yahoo, isso já não me surpreende mais.

    • Marcus Araújo

      Próxima manchete: falha de segurança anuncia o Yahoo.

  • Rômulo Pacheco

    Yahoo nunca decepcionando.

  • Keaton

    Meh… tudo que ele fez foi descobrir quais palavras eram usadas…

    Pensa no número ridiculo de possibilidades…

  • Perdeu a graça já…